Op 25 mei 2018 heeft de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens vervangen. De bedoeling was dat de ePrivacy verordening op diezelfde dag in werking zou treden. Toch is de toekomst van de ePrivacy verordening nog steeds onduidelijk. Dit is alles wat je moet weten over de ePrivacy verordening en cookies.
Waarom nieuwe ePrivacy wetgeving?
De ePrivacy verordening dient de huidige Telecommunicatiewet te gaan vervangen om meerdere redenen. Allereerst ziet de huidige wetgeving enkel op traditionele media (Facebook en Whatsapp bestonden nog niet). Daarnaast heeft de Europese Commissie deze verordening geïntroduceerd om de regels omtrent ePrivacy in Europa gelijk te trekken. Dit is ook het geval geweest met de AVG, waar we meteen het laatste punt mee te pakken hebben. De huidige regelgeving staat op bepaalde punten lijnrecht tegenover wat in de AVG is geregeld, waardoor de toezichthoudende organen (De Autoriteit Consument en Markt – ACM enerzijds en de Autoriteit Persoonsgegevens – AP anderzijds) momenteel geen eenduidig antwoord op belangrijke vraagstukken kunnen geven.
Vertrouwelijke elektronische communicatie
Het is de bedoeling dat alle elektronische communicatie vertrouwelijk behandeld gaat worden. Dit houdt in dat we communicatie niet mogen onderscheppen, monitoren of afluisteren. Facebook zal in een dergelijk geval dus geen Whatsappberichten uit mogen lezen en een mailhoster, zoals Google’s Gmail, mag geen verzonden e-mail meer lezen of zelfs scannen. Dit verbod geldt overigens niet alleen voor de inhoud van de communicatie, maar ook de metadata. De tijd of locatie vanuit waar een bericht is verzonden wordt dus ook vertrouwelijk.
Algeheel spamverbod
In lijn met de AVG is het de bedoeling dat er een algeheel spamverbod komt. Daarmee zegt de wetgeving dat toestemming nodig is om commercieel te e-mailen. Dit ziet dus niet alleen op het verzenden van een nieuwsbrief (of het plaatsen van personen op je nieuwsbrief via een freebie), maar elke vorm van commerciële communicatie.
Je dient dus aan het begin van jouw klantrelatie toestemming te vragen voor commerciële communicatie. Dit mag niet met vooraf aangevinkte vakjes: er is een actieve handeling nodig van de lezer. De toestemming dient daarnaast vrijwillig gegeven te worden. Heb je die toestemming vervolgens? Dan moet alsnog in iedere commerciële e-mail (en nieuwsbrief) een opt-out mogelijkheid komen te staan.
Bestaande klanten mailen
De uitzondering hierop is het mailen van bestaande klanten over een soortgelijke dienst of product. Wanneer jij iemand die al eerder een dienst of product bij jou heeft afgenomen een e-mail wilt sturen ter promotie van een nieuwe dienst of product die in lijn is met de eerdere aankoop van die klant, heb je hier geen expliciete toestemming voor nodig. Het is hierbij erg belangrijk dat dit voldoende verband houdt met de eerdere aankoop. Onder het spamverbod vallen tot slot de bepalingen dat het verzenden van een e-mail vanuit een no-reply adres niet is toegestaan en dat er hoogstwaarschijnlijk een prefix gaat komen voor marketeers, zodat jij bij een inkomende oproep direct kunt zien dat je wordt gebeld met verkoopdoeleinden.
Cookies en ePrivacy
Maar het grootste discussiepunt heeft betrekking op cookies. We kennen drie soorten cookies (functionele cookies, analytische cookies en tracking cookies), waarbij je voor het plaatsen van tracking cookies vooraf toestemming nodig hebt.
Toestemming
Functionele cookies en analytische cookies zijn (onder bepaalde voorwaarden) uitgesloten van het toestemmingsvereiste. Er hoeft geen toestemming te worden gevraagd voordat deze cookies worden geplaatst. Websites die geen gebruik maken van tracking cookies hoeven dan ook geen cookiebanner te plaatsen. Over de vraag of in dit geval wel een cookiestatement verplicht is hebben de toezichthoudende organen een verschillende mening.
Voordat je tracking cookies mag plaatsen heb je wel altijd toestemming nodig. Over het plaatsen van tracking cookies moet altijd duidelijk geïnformeerd worden (in een cookiestatement). De AVG vereist daarnaast dat de toestemming vrij gegeven wordt. Bezoekers moeten een keuze hebben om nee te zeggen, zich niet gedwongen voelen de cookies te accepteren en het weigeren van cookies mag geen negatieve gevolgen hebben. Daarnaast mag er geen twijfel ontstaan dat iemand toestemming wilde geven. Daarom moet toestemming bestaan uit een actieve handeling. Het enkel doorklikken op een website kan dan ook niet als toestemming worden beschouwd.
De beruchte cookiewall
Momenteel zien we op veel websites daarom een cookiewall, waarbij je de cookies moet accepteren en anders de website niet op komt. In het oorspronkelijke voorstel van de ePrivacy verordening staat dat cookiewalls in sommige gevallen mogen blijven bestaan. Een cookiewall zou zijn toegestaan wanneer er een alternatieve website bestaat waar dezelfde soort informatie op te vinden is. Wanneer er geen alternatief bestaat of het gaat om een website van de gemeente en andere overheidsorganen, zou een cookiewall niet meer zijn toegestaan. De website moet in een dergelijk geval volledig te gebruiken blijven, ook wanneer geen toestemming wordt gegeven voor het plaatsen van (tracking) cookies.
Om deze reden zullen cookiebanners die veel websites nu gebruiken om toestemming te vragen voor tracking cookies hoogstwaarschijnlijk wel blijven bestaan. Bezoekers moeten in zo’n banner weer goed worden geïnformeerd over de cookies en de toestemming moet actief zijn, waardoor ook voorkeuren in de banner niet vooraf aangevinkt mogen staan.
We zien uiteraard allerlei partijen die tientallen verschillende cookiebanners aanbieden. In enkele van die banners staat enkel de mogelijkheid cookies wel of niet te accepteren (zoals deze bekend waren onder de huidige Telecommunicatiewet) en andere banners bevatten een keuzemogelijkheid tussen de diverse categorieën cookies.
Specifieke toestemming
Of deze keuzemogelijkheid verplicht is hangt af of je de cookies voor verschillende doeleinden wilt plaatsen. Toestemming moet namelijk ook specifiek zijn. Het vragen van toestemming met 1 knopje is straks wellicht niet specifiek genoeg meer, waardoor keuzemogelijkheden in de banner een oplossing verschaffen. In het voorstel van de ePrivacy verordening wordt gesproken over meer verantwoordelijkheid leggen bij browsers en andere apps omdat het voor bezoekers anders overweldigend zou zijn om aan de verzoeken tot toestemming te voldoen en de kans groot zou zijn dat bezoekers daarom geen enkele toestemming meer willen verschaffen. Het idee is dat je in de toekomst eenmalig in je browserinstellingen aangeeft of je alle cookies, alleen first party cookies of geen cookies wilt accepteren en dit dan voor alle websites die jij bezoekt geldt.
En nu?
De Europese verkiezingen hebben plaatsgevonden in mei 2019. Momenteel is de verordening echter nog steeds niet inwerkinggetreden. Zodra er meer duidelijkheid is over de definitieve inhoud en inwerkingtreding laten wij dit weten via onze verschillende kanalen.